新勒索軟體 FireCrypt 另類特性可實現 DDoS 攻擊
MalwareHunterTeam 的安全研究人員發現了一款勒索軟體變種 ——「FireCrypt」,它不僅具備一般勒索軟體的特性,會將受感染的系統文件惡意加密,甚至還會試圖利用受感染者機器,向其源碼中硬編碼的 URL 地址,發起小規模的 DDoS 攻擊。
一般特性:勒索功能
一旦,惡意 EXE 文件被觸發,FireCrypt 將殺死計算機的任務管理器( taskmgr.exe )並使用 AES-256 加密演算法加密 20 種文件類型。所有加密文件都會添加「 .firecrypt 」的擴展名,加密完成後就會索要 500 美元贖金。FireCrypt 和勒索軟體 「Deadly for a Good Purpose」 源代碼很相似,都使用源代碼的電子郵件和比特幣地址,很有可能是「Deadly for a Good Purpose」勒索軟體的升級版。
另類特性:DDoS 功能
FireCrypt 源碼中含一個硬編碼的 URL 地址,勒索軟體會不斷地連接該 URL 下載相應內容並存儲在%Temp% 磁碟文件名下,同時命名為 [random_chars]-[connect_number].html 。
該 URL 為巴基斯坦電信管理局的官網地址,勒索軟體作者稱該功能為「 DDoSer」並希望藉此發動 DDoS 攻擊,不過感染設備至少要達到上萬台才能達到攻擊效果。
詳細分析報告
以下是 MalwareHunterTeam 和 Lawrence Abrams 提供的對該惡意軟體的分析報告:
FireCrypt作為一個勒索軟體構建套件
惡意軟體通常是從源碼編譯生成,或者使用自動化軟體來生成,這類軟體會採用某些特定的輸入參數,進而在per-campaign的基礎上輸出一個惡意軟體的有效載荷。後者在業內被稱為惡意軟體構建器,通常為命令行應用程序或基於GUI 的工具。
而 FireCrypt 勒索軟體的開發者則使用的是命令行應用程序,在使用過程中,該應用程序會自動將 FireCrypt 的樣本文件放在一起,允許他修改基本設置,而無需使用笨重的 IDE來重複編譯源碼了。
FireCrypt 的構建器名為 「BleedGreen」,允許 FireCrypt 開發者來生成一個獨特的勒索軟體可執行文件,給它自定義一個名字,並使用個性化的文件圖標等。與其他勒索軟體構建器相比,BleedGreen 是一個非常低端的構建器。因為一般而言,類似的構建器通常都具備一套更為完善的自定義選項,例如有比特幣收付款地址、贖金要求值、電子郵件聯繫地址等等設置選項。
該技術經常被惡意軟體開發人員用來創建所謂的「多態惡意軟體」,旨在增加殺毒軟體的查殺難度。根據MalwareHunterTeam 所言,「BleedGreen」 構建器是一款非常低端和基礎的勒索軟體構建器,所以它並不能實現真正意義上免殺。
然而這也告訴我們,FireCrypt 的開發者至少是具備一定的惡意軟體開發經驗,而不是一個只會從 GitHub 下載開源勒索軟體的腳本小子。
FireCrypt 感染過程
FireCrypt的感染過程取決于勒索軟體的分發者能否成功誘使目標用戶啟動生成的 EXE 可執行文件。
一旦生成的惡意 EXE 文件被觸發,那麼FireCrypt 將殺死計算機的任務管理器(taskmgr.exe)進程,並使用 AES-256 加密演算法加密 列表中的20 種文件類型。
所有被加密文件的原始文件名和擴展名都將附加「.firecrypt」後綴。例如,名為 photo.png 的文件,將被重命名為 photo.png.firecrypt。
一旦文件加密過程結束,FireCrypt 就會在桌面彈框中警告用戶按其要求支付相應的贖金。
【FireCrypt勒索贖金彈框】
值得注意的是,該贖金彈框與去年 10月14日MalwareHunterTeam安全研究小組發現的一款勒索軟體的贖金彈框幾乎是一樣的。
【Deadly for a Good Purpose勒索贖金彈框】
當2016年10月發現「Deadly for a Good Purpose」勒索軟體時,它好像還處於開發階段。因為只有進入到2017年,其源代碼才會執行文件加密進程。
與FireCrypt相比,唯一不同的是,去年發現的那款勒索軟體在贖金彈框頂部放置了一個類似 logo 的標誌,而 FireCrypt 卻移除了這個標誌。但是,通過仔細檢查「Deadly for a Good Purpose」的源代碼,MalwareHunterTeam 發現這兩款勒索軟體使用了相同的電子郵件和比特幣地址,這就意味著兩者之間存在關聯,FireCrypt 極有可能是「Deadly for a Good Purpose」勒索軟體的升級版。
用垃圾文件填滿你的硬碟驅動器的DDoS功能
索要贖金後, FireCrypt並不會終止其惡意行為。它的源代碼中包含一個連接函數,該函數會持續不斷地連接到遠程的一個 URL 地址中,並下載一些垃圾文件,隨後將其自動保存在你硬碟的 %Temp% 文件下,同時命名為 [random_chars]-[connect_number].html。
如果用戶沒有意識到這個函數,FireCrypt 將會在短時間內用垃圾文件迅速填滿你的 %Temp% 文件夾。
當前該版本的 FireCrypt 勒索軟體,將會從遠程連接並下載 http://www.pta.gov.pk/index.php 上的內容,該 URL 為巴基斯坦電信管理局的官網地址。目前,我們無法使用勒索軟體的構建器修改此 URL。
FireCrypt 的開發者將此功能稱為 「DDoSer」,他必須感染成千上萬台的機器,才有可能對巴基斯坦電信管理局的官網發起 DDoS 攻擊。此外,所有受感染的計算機,都必須處於連網狀態,只有這樣才能參與到其發起的 DDoS 的攻擊。
目標文件擴展名:
.txt, .jpg, .png, .doc, .docx, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .csx, .psd, .aep, .mp3, .pdf, .torrentn
與 FireCrypt 勒索軟體相關的文件:
%AppData%MicrosoftWindowsStart MenuProgramsStartup[random_chars].exe - Startup Executablen%Desktop%[random_chars]-READ_ME.html - Ransom Noten%AppData%SysWin32files.txt - List of Encrypted Filesn%Desktop%random_chars]-filesencrypted.html - List of Encrypted Filesn%Temp%random_chars]-[connect_number].html - Files downloaded during the DDoS attackn
與 FireCrypt 勒索軟體相關的哈希值:
「BleedGreen」構建器(VirusTotal 掃描結果顯示只有2/57的殺毒軟體認為它是惡意軟體):
SHA-256:ne77df2ce34949eb11290445a411a47fb927e8871e2580897581981d17730032dn
一個 FireCrypt 勒索軟體二進位示例(VirusTotal 掃描結果顯示13/57的殺毒軟體認為它是惡意軟體):
SHA-256:nd49240e38603c29b38db86b6c11795f166e63d8385e8626232131f750cdb434fn
電子郵件地址和付款聯繫人:
電子郵箱: gravityz3r0@sigaint.org
截至目前,還沒有安全公司發布解密工具來恢復這些被加密的文件。因此,一旦你感染了這種勒索軟體,想要在短時間內恢復文件,則可能不得不按要求支付 500 美元的贖金來解鎖。如果受害者不希望支付 500 美元贖金迅速解密文件,則需耐心等待解密工具公布並保留好被加密文件的副本。
註:本文參考來源於securitynewspaper
推薦閱讀: